1、1、 IP地址配置1.1、配置接口的从 IP 地址ip add 10.1.1.2 255.255.255.0 sub 从地址的好处是在一个 VLAN能使用两个网段的地址,这个在网络 IP地址切换时可实现无中断切换,在重庆公管中心遇到了这种情况。2、ARP 配置2 1、配置静态 ARP1、为了将目的 IP 地址不在本网段的报文,穿过本网段的某个网关,使得到该 IP 地址的报文能通过该网关进行转发。2、当用户需要过滤掉一些目的 IP 地址为非法的报文时,将这些非法的 IP 地址绑定到某个不存在的 MAC 地址。配置普通静态 ARP表项在设备上同时配置静态 ARP 和 VRRP 时,不能将 VLAN
2、IF 接口下所配置的VRRP 备份组的虚拟 IP 地址作为该静态 ARP 表项中的 IP 地址,否则会生成错误的主机路由,影响正常转发。arp static ip-address mac-address 配置 VLAN内的静态 ARP表项arp static ip-address mac-address vid vlan-id interface interface-type interfacenumber配置 VPN实例内的静态 ARP表项arp static ip-address mac-address vpn-instance vpn-instance-name2.2、优化动态 ARP步
3、骤 1 执行命令 system-view,进入系统视图。步骤 2 执行命令 interface vlanif vlan-id,进入 VLANIF 接口视图。步骤 3 执行命令 arp detect-times detect-times,设置动态 ARP 表项的老化探测次数。步骤 4 执行命令 arp expire-time expire-time,设置动态 ARP 表项的老化超时时间。缺省情况下,动态 ARP 表项的老化探测次数为 3,老化超时时间为 1200 秒,即 20 分钟。步骤 5 执行命令 arp detect-mode unicast,设置接口以单播方式发送 ARP 老化探测报文。
4、缺省情况下,接口以广播方式发送 ARP 老化探测报文。 arp抑制功能系统在同一时间内接收到大量源 IP 地址相同的 ARP 报文时,需要对 ARP 表项进行重复更新。为了维护系统性能,可以启动 ARP 抑制功能,系统将对ARP 报文只应答,不更新。arp-suppress enabl配置路由式 Proxy arp代理ARP 的功能就是使IP 地址属于同一网段却不属于同一物理网络的设备能够相互通信一个企业的2 个物理网络,属于同一IP 网络的不同子网,中间使用交换机分隔。为了使这两个物理网络实现互通,需要在交换机与物理网络连接的接口上启动Proxy ARP 功能。各子网中的主机IP 地址的网络
5、号应一致,主机上不需要配置缺省网关。“什么是代理 ARP?代理 ARP 就是通过使用一个主机( 通常为 router),来作为指定的设备对另一设备的 ARP 请求作出应答。“这个可以说是一个官方解释了。大家可以用同一个拓扑来验证一下,在这里我们最常使用 Router 关闭路由功能来模拟成 PC 完成这个实验(左方 PC 为路由器模拟,在做此实验前请把前一实验的 ARP 信息清除,建议重启):PC 上不配置默认网关,此时用 PC 去 ping 192.168.1.2 和 10.1.1.3。会得到以下 ARP表由此可见,PC 发出 ARP 请求 10.1.1.3 的 MAC 地址,R2 以自己的
6、FastEthernet0/0口地址代理 R3 去回应 PC,告诉 PC 自己的 FastEthernet0/0 就是 10.1.1.3 的 MAC地址。结论:有默认网关的的时候 PC 按默认网关走,没有默认网关的时候路由器通过代理ARP 完成通信。到目前为止一切都看起来那么的合理,那么的顺利。这个实验是一些培训班常做的实验之一。其实,错了!问题出在哪里?问题就出在我们是用一台路由器去模拟 PC。不管是否关闭路由功能,它始终不是 PC,它处理数据的方式与 PC 也不一样。请大家思考一下,如果是一台PC,在没有默认网关的情况下去 ping 一个非本网段地址,会出现什么情况?在没有默认网关的情况下
7、 ping 一个非本网段地址,显示目标网络不可达,然后直接丢包,根本不会发出 ARP 查询。PC 在什么时候会发出 ARP 查询呢?ping 一个本网段地址的时候(大家可以抓包来验证一下) 。其实就是思科文档的这种情况了:看清楚了,PC-A 的 IP 地址是 /16 位,PC-D 的 IP 地址是/24 位,所以当 PC-A 去ping PC-D 的时候,PC-A 认为是 ping 同一个网段,会发出 ARP 请求,这个时候ARP 请求就到了路由器上了。路由器如果开启了代理 ARP 功能,会代替 PC-D 给PC-A 回应,告诉 PC-A 路由器的 e0 口 MAC 地址 00-00-0c-9
8、4-36-ab 就是 PC-D 的MAC 地址,完成代理 ARP 操作,保护了 PC-D 的 MAC 地址隐私。proxy ARP有哪些优点?最主要的一个优点就是能够在不影响其他 router的路由表的情况下在网络上添加一个新的 router,这样使得子网的变化对主机是透明的proxy ARP应该使用在主机没有配置默认网关或没有任何路由策略的网络上proxy ARP带来的哪些负面影响?1.增加了某一网段上 ARP流量2.主机需要更大的 ARP table来处理 IP地址到 MAC地址的映射3.安全问题,比如 ARP欺骗(spoofing)4.不会为不使用 ARP来解析地址的网络工作5.不能够概
9、括和推广网络拓扑思科默认开启 arp-proxy华为配置int vlan 2arp-proxy enableip add 172.16.23.114 24聚合 VLAN内的 proxy arp在聚合 vlan 网关下配置int vlan 2arp-proxy inner-sub-vlan-proxy enable使能二层拓扑探测功能使能二层拓扑探测功能后,当二层接口状态由Down 变为Up 时,系统更新所有该二层口所属VLAN 对应的ARP 表项。l2-topology detect enable,3、 DHCP配置3.1 配置接口工作在全局地址池模式int vlan 1ip add 10.1
10、.2.2 24dhcp seletc global3.2 配置全局地址池ip pool cisconetwork leaseexcluded-ip-addressgateway-listdns-list3.3 防止 IP 地址重复分配功能地址探测是通过dhcp server ping 命令实现的,检测是否能在指定时间内得到Ping 应答。如果在最长等待Ping 响应的时间内没有得到应答,则继续发送Ping 报文,直到发送Ping 包数量达到最大值,如果仍然没有收到应答,则认为本网段内没有设备使用该IP 地址,从而确保客户端被分得的IP 地址是唯一的。dhcp server ping 5dhcp
11、 server ping timeout 500 (单位是毫秒)3.4 DHCP 数据保存功能将当前的DHCP 用户信息保存到S5700 的存储设备上,当S5700 发生故障时可以从存储设备中及时恢复数据。dhcp server database enable执行本命令后,系统将生成lease.txt 和conflict.txt 两个文件,存放在Flash 的DHCP 文件夹中,分别保存正常的地址租借信息和地址冲突信息dhcp server database write-delay interval配置数据保存时间间隔缺省情况下,未使能DHCP 数据保存到Flash 的功能。如果使能此功能,缺
12、省情况下,每隔7200 秒保存一次当前的DHCP 数据,并覆盖之前的数据文件dhcp server database recover使能 DHCP 数据恢复功能后,系统重启时将从 Flash 的文件中恢复 DHCP 数据。3.5 配置接口地址池的地址分配方式int vlan 1ip add 10.1.1.1 24 dhcp select interface dhcp server lease /配置租期dhcp server excluded-ip-addessdhcp server static-bind ip-address 10.1.1.2 mac-address 2342-2323-3
13、523dhcp server dns-list3.6 配置 DHCP 中继1、启用中继服务interface vlan 4ip address 10.1.1.2 24dhcp select relay2、指定 DHCP服务器,有两种方法,一种是在接口下直接指定,另一种配置 DHCP服务器组,之后在接口下绑定接口下直接指定int vlan 4dhcp relay server-ip 10.1.1.1 配置 DHCP服务器组dhcp server group ciscodhcp-server 10.1.1.1 int vlan 1dhcp relay server-select cisco3.7
14、配置 DHCP/BOOTP 客户端int vlan 3dhcp client hostname ciscodchp client class-id ciscoip address dhcp-allocip address boot-alloc4、 UDP Helper配置网络中的主机有时需要通过发送广播报文来获得网络配置或查询网络中其他设备的名称。但是,当主机与服务器或待查询的设备不在同一个广播域时,主机就无法获得所需要的信息。为解决上述问题,设备提供了 UDP Helper 功能。通过该功能可以实现对指定 UDP 端口的 IP 广播报文进行中继转发,即将指定 UDP 端口的广播报文转换为单播
15、报文发送给指定的目的服务器或将一个子网的广播报文转发给另外的子网,起到中继的作用。S5700 在使能UDP Helper 功能后,默认对6 个UDP 端口的广播报文进行中继转发,将这些默认UDP 端口的广播报文单播转发到相应的目的服务器。其他UDP 端口必须要在使能UDP Helper 功能后手动配置。UDP Helper 功能不支持对DHCP 报文的中继,即中继转发的UDP 端口不能配置为67 和68。S5700EI 和S5700SI 不支持UDP Helper 的功能。如果要中继DHCP 报文,需要使能DHCP Relay 特性。udp-helper port port-number |
16、dns | netbios-ds | netbios-ns | tacacs | tftp |time int vlan 5ip add 10.1.1.2 24udp-helper server 10.2.42.1 5、DNS 配置静态 DNS表项ip host erp 10.1.1.2动态 DNS配置dns resolve 使能动态域名解析功能dns server 10.1.1.1dns server source-ip 10.1.1.3,指定本端交换机的IP 地址。指定本端交换机的IP 地址,以指定的IP 地址与DNS 服务器端通信,从而保证通信的安全。6、 IPV6配置地址表示方式IPv
17、6 的 128 位 IP 地址有以下两种表示形式。 X:X:X:X:X:X:X:X在这种形式中,128 位的 IP 地址被分为 8 组,每组的 16 位用 4 个十六进制字符(0 9,A F)来表示,组和组之间用冒号(:)隔开。其中每个“X”代表一组十六进制数值。 X:X:X:X:X:X:d.d.d.d分为如下两种类型 IPv4 兼容 IPv6 地址 IPv4 映射 IPv6 地址其中 IPv4 兼容 IPv6 地址用于配置 IPv6 over IPv4 隧道。在这种形式中, “X”代表高阶的六组数字,用十六进制数来表示每组的 16 比特。“d”代表低阶的四组数字,用十进制数表示每组的 8 比
18、特。后边的部分(d.d.d.d)其实就是一个标准的 IPv4 地址。一个 IPv6 地址可以分为如下两部分: 网络前缀:n 比特,相当于 IPv4 地址中的网络 ID。 接口标识:128-n 比特,相当于 IPv4 地址中的主机 ID。接口地址配置接口标识可通过三种方法生成:手工配置、系统通过软件自动生成或 IEEE EUI-64规范生成。其中,EUI-64 规范自动生成最为常用。IEEE EUI-64IEEE EUI-64规范是将接口的 MAC地址转换为 IPv6接口标识的过程。如图1所示,MAC 地址的前 24位(用 c表示的部分)为公司标识,后 24位(用 m表示的部分)为扩展标识符。高
19、 7位是 0表示了 MAC地址本地唯一。转换的第一步将 FFFE插入 MAC地址的公司标识和扩展标识符之间,第二步将高 7位的 0改为 1表示此接口标识全球唯一。图 1 EUI-64规范示意图 例如:MAC 地址:000E-0C82-C4D4;转换后:020E:0CFF:FE82:C4D4。这种由 MAC地址产生 IPv6地址接口标识的方法可以减少配置的工作量,尤其是当采用无状态地址自动配置时,只需要获取一个 IPv6前缀就可以与接口标识形成 IPv6地址。但是使用这种方式最大的缺点是任何人都可以通过二层 MAC地址推算出三层 IPv6地址。IP 地址分类IPv6地址分为单播地址、任播地址(A
20、nycast Address)、组播地址三种类型。和 IPv4相比,取消了广播地址类型,以更丰富的组播地址代替,同时增加了任播地址类型。IPv6单播地址IPv6单播地址标识了一个接口,由于每个接口属于一个节点,因此每个节点的任何接口上的单播地址都可以标识这个节点。发往单播地址的报文,由此地址标识的接口接收。IPv6定义了多种单播地址,目前常用的单播地址有:未指定地址、环回地址、全球单播地址、链路本地地址、唯一本地地址 ULA(Unique Local Address)。 未指定地址IPv6中的未指定地址即 0:0:0:0:0:0:0:0/128 或者:/128。该地址可以表示某个接口或者节点还
21、没有 IP地址,可以作为某些报文的源 IP地址(例如在 NS报文的重复地址检测中会出现)。源 IP地址是:的报文不会被路由设备转发。 环回地址IPv6中的环回地址即 0:0:0:0:0:0:0:1/128 或者:1/128。环回与 IPv4中的 127.0.0.1作用相同,主要用于设备给自己发送报文。该地址通常用来作为一个虚接口的地址(如 Loopback接口)。实际发送的数据包中不能使用环回地址作为源 IP地址或者目的 IP地址。 全球单播地址全球单播地址是带有全球单播前缀的 IPv6地址,其作用类似于 IPv4中的公网地址。这种类型的地址允许路由前缀的聚合,从而限制了全球路由表项的数量。全
22、球单播地址由全球路由前缀(Global routing prefix)、子网ID(subnet ID)和接口标识(Interface ID)组成,其格式如 图 2所示:图 2 全球单播地址格式 Global routing prefix:全球路由前缀。由提供商(Provider)指定给一个组织机构,通常全球路由前缀至少为 48位。目前已经分配的全球路由前缀的前 3bit均为 001。Subnet ID:子网 ID。组织机构可以用子网 ID来构建本地网络(Site)。子网 ID通常最多分配到第 64位。子网 ID和 IPv4中的子网号作用相似。Interface ID:接口标识。用来标识一个设备
23、(Host)。 链路本地地址链路本地地址是 IPv6中的应用范围受限制的地址类型,只能在连接到同一本地链路的节点之间使用。它使用了特定的本地链路前缀 FE80:/10(最高 10位值为 1111111010),同时将接口标识添加在后面作为地址的低 64比特。当一个节点启动 IPv6协议栈时,启动时节点的每个接口会自动配置一个链路本地地址(其固定的前缀+EUI-64 规则形成的接口标识)。这种机制使得两个连接到同一链路的 IPv6节点不需要做任何配置就可以通信。所以链路本地地址广泛应用于邻居发现,无状态地址配置等应用。以链路本地地址为源地址或目的地址的 IPv6报文不会被路由设备转发到其他链路。
24、链路本地地址的格式如 图 3所示:图 3 链路本地地址格式 唯一本地地址唯一本地地址是另一种应用范围受限的地址,它仅能在一个站点内使用。由于本地站点地址的废除(RFC3879),唯一本地地址被用来代替本地站点地址(RFC4193)。唯一本地地址的作用类似于 IPv4中的私网地址,任何没有申请到提供商分配的全球单播地址的组织机构都可以使用唯一本地地址。唯一本地地址只能在本地网络内部被路由转发而不会在全球网络中被路由转发。唯一本地地址格式如 图 4所示:图 4 唯一本地地址格式 Prefix:前缀;固定为 FC00:/7。L:L 标志位;值为 1代表该地址为在本地网络范围内使用的地址;值为 0被保
25、留,用于以后扩展。Global ID:全球唯一前缀;通过伪随机方式产生(RFC4193)。Subnet ID:子网 ID;划分子网使用。Interface ID:接口标识。唯一本地地址具有如下特点: 具有全球唯一的前缀(虽然随机方式产生,但是冲突概率很低)。 可以进行网络之间的私有连接,而不必担心地址冲突等问题。 具有知名前缀(FC00:/7),方便边缘路由器进行路由过滤。 如果出现路由泄漏,该地址不会和其他地址冲突,不会造成Internet路由冲突。 应用中,上层应用程序将这些地址看作全球单播地址对待。 独立于互联网服务提供商 ISP(Internet Service Provider)。I
26、Pv6组播地址IPv6的组播与 IPv4相同,用来标识一组接口,一般这些接口属于不同的节点。一个节点可能属于 0到多个组播组。发往组播地址的报文被组播地址标识的所有接口接收。一个 IPv6组播地址由前缀,标志(Flag)字段、范围(Scope)字段以及组播组 ID(Global ID)4 个部分组成: 前缀:IPv6 组播地址的前缀是 FF00:/8(1111 1111)。 标志字段(Flag):长度 4bit,目前只使用了最后一个比特(前三位必须置 0),当该位值为 0时,表示当前的组播地址是由 IANA所分配的一个永久分配地址;当该值为 1时,表示当前的组播地址是一个临时组播地址(非永久分
27、配地址)。 范围字段(Scop):长度 4bit,用来限制组播数据流在网络中发送的范围,该字段取值和含义的对应关系如 图 5所示。 组播组 ID(Global ID):长度 112bit,用以标识组播组。目前,RFC2373并没有将所有的 112位都定义成组标识,而是建议仅使用该 112位的最低 32位作为组播组 ID,将剩余的 80位都置 0。这样每个组播组 ID都映射到一个唯一的以太网组播 MAC地址(RFC2464)。IPv6组播地址格式如 图 5所示:图 5 IPv6组播地址格式 被请求节点组播地址被请求节点组播地址通过节点的单播或任播地址生成。当一个节点具有了单播或任播地址,就会对应
28、生成一个被请求节点组播地址,并且加入这个组播组。一个单播地址或任播地址对应一个被请求节点组播地址。该地址主要用于邻居发现机制和地址重复检测功能。IPv6中没有广播地址,也不使用 ARP。但是仍然需要从 IP地址解析到 MAC地址的功能。在 IPv6中,这个功能通过邻居请求 NS(Neighbor Solicitation)报文完成。当一个节点需要解析某个 IPv6地址对应的 MAC地址时,会发送 NS报文,该报文的目的 IP就是需要解析的 IPv6地址对应的被请求节点组播地址;只有具有该组播地址的节点会检查处理。被请求节点组播地址由前缀 FF02:1:FF00:0/104和单播地址的最后 24
29、位组成。IPv6任播地址任播地址标识一组网络接口(通常属于不同的节点)。目标地址是任播地址的数据包将发送给其中路由意义上最近的一个网络接口。任播地址设计用来在给多个主机或者节点提供相同服务时提供冗余功能和负载分担功能。目前,任播地址的使用通过共享单播地址方式来完成。将一个单播地址分配给多个节点或者主机,这样在网络中如果存在多条该地址路由,当发送者发送以任播地址为目的 IP的数据报文时,发送者无法控制哪台设备能够收到,这取决于整个网络中路由协议计算的结果。这种方式可以适用于一些无状态的应用,例如 DNS等。IPv6中没有为任播规定单独的地址空间,任播地址和单播地址使用相同的地址空间。目前 IPv
30、6中任播主要应用于移动 IPv6。在 6to4中继中也使用了任播前缀(2002:c058:6301:)。说明:IPv6任播地址仅可用被分配给路由设备,不能应用于主机。任播地址不能作为IPv6报文的源地址。 子网路由器任播地址子网路由器任播地址是已经定义好的一种任播地址(RFC3513)。发送到子网路由器任播地址的报文会被发送到该地址标识的子网中路由意义上最近的一个路由器。所有路由器都必须支持子网任播地址。子网路由器任播地址用于节点需要和远端子网上所有路由器中的一个(不关心具体是哪一个)通信时使用。例如,一个移动节点需要和它的“家乡”子网上的所有移动代理中的一个进行通信。子网路由器任播地址由 n
31、bit子网前缀标识子网,其余用 0填充。格式如图 6所示:图 6 子网路由器任播地址格式 配置的接口地址ipv6 enableint vlan 4ipv6 enable ipv6 addre auto link-local /自动配置本地链路地址ipv6 addre ipve-address link-local /手动配置本地链路地址ipv6 addre ipv6-address prefix-length | ipv6-address/prefix-length /全球单播地址ipv6 addre ipv6-address prefix-length | ipv6-address/pref
32、ix-length eui-64/配置接口 eui全球单播地址ipv6 address ipv6-address prefix-length | ipv6-address/prefix-length anycast,配置接口的任播IPv6地址邻居发现概况邻居发现 ND(Neighbor Discovery)是 IPv6协议体系中一个重要的基础协议。邻居发现协议替代了 IPv4的 ARP(Address Resolution Protocol)和ICMP路由器发现(Router Discovery) ,它定义了使用 ICMPv6报文实现地址解析,跟踪邻居状态,重复地址检测,路由器发现以及重定向等
33、功能。ND被看做是 3层协议,3 层解析的好处是:地址解析在三层完成,不同的二层介质可以采用相同的地址解析协议。可以使用三层的安全机制(例如 IPSec)避免地址解析攻击。使用组播方式发送请求报文,减少了二层网络的性能压力。地址解析使用的两种报文:NS报文:Type 字段值为 135,Code 字段值为 0,在地址解析中的作用类似于 IPv4中的 ARP请求报文。NA报文:Type 字段值为 136,Code 字段值为 0,在地址解析中的作用类似于 IPv4中的 ARP应答报文。Host A在向 Host B发送报文之前它必须要解析出 Host B的链路层地址,所以首先 Host A会发送一个
34、 NS报文,其中源地址为 Host A的 IPv6地址,目的地址为 Host B的被请求节点组播地址,需要解析的目标 IP为 Host B的IPv6地址,这就表示 Host A想要知道 Host B的链路层地址。同时需要指出的是,在 NS报文的 Options字段中还携带了 Host A的链路层地址。当 Host B接收到了 NS报文之后,就会回应 NA报文,其中源地址为 Host B的 IPv6地址,目的地址为 Host A的 IPv6地址(使用 NS报文中的 Host A的链路层地址进行单播) ,Host B的链路层地址被放在 Options字段中。这样就完成了一个地址解析的过程。跟踪邻居
35、状态Host A在向 Host B发送报文之前它必须要解析出 Host B的链路层地址,所以首先 Host A会发送一个 NS报文,其中源地址为 Host A的 IPv6地址,目的地址为 Host B的被请求节点组播地址,需要解析的目标 IP为 Host B的IPv6地址,这就表示 Host A想要知道 Host B的链路层地址。同时需要指出的是,在 NS报文的 Options字段中还携带了 Host A的链路层地址。当 Host B接收到了 NS报文之后,就会回应 NA报文,其中源地址为 Host B的 IPv6地址,目的地址为 Host A的 IPv6地址(使用 NS报文中的 Host A
36、的链路层地址进行单播) ,Host B的链路层地址被放在 Options字段中。这样就完成了一个地址解析的过程下面以 A、B 两个邻居节点之间相互通信过程中 A节点的邻居状态变化为例(假设 A、B 之前从未通信) ,说明邻居状态迁移的过程。A先发送 NS报文,并生成缓存条目,此时,邻居状态为 Incomplete。若 B回复 NA报文,则邻居状态由 Incomplete变为 Reachable,否则固定时间后邻居状态由 Incomplete变为 Empty,即删除表项。经过邻居可达时间,邻居状态由 Reachable变为 Stale,即未知是否可达。如果在 Reachable状态,A 收到 B
37、的非请求 NA报文,且报文中携带的 B的链路层地址和表项中不同,则邻居状态马上变为 Stale。在 Stale状态若 A要向 B发送数据,则邻居状态由 Stale变为 Delay,并发送 NS请求。在经过一段固定时间后,邻居状态由 Delay变为 Probe,其间若有 NA应答,则邻居状态由 Delay变为 Reachable。在 Probe状态,A 每隔一定时间间隔发送单播 NS,发送固定次数后,有应答则邻居状态变为 Reachable,否则邻居状态变为 Empty,即删除表项。 。重复地址检测一个 IPv6单播地址在分配给一个接口之后且通过重复地址检测之前称为试验地址(Tentative
38、Address) 。此时该接口不能使用这个试验地址进行单播通信,但是仍然会加入两个组播组:ALL-NODES 组播组和实验地址所对应的Solicited-Node组播组。IPv6重复地址检测技术和 IPv4中的免费 ARP类似:节点向一个自己将使用的试验地址所在的 Solicited-Node组播组发送一个以该实验地址为请求的目标地址的 NS报文,如果收到某个其他站点回应的 NA报文,就证明该地址已被网络上使用,节点将不能使用该实验地址通讯。举例:Host A的 IPv6地址 2000:1为新配置地址,即 2000:1为 Host A的试验地址。Host A向 2000:1的 Solicite
39、d-Node组播组发送一个以 2000:1为请求的目标地址的 NS报文进行重复地址检测,由于 2000:1并未正式指定,所以NS报文的源地址为未指定地址。当 Host B收到该 NS报文后,有两种处理方法:如果 Host B发现 2000:1是自身的一个实验地址,则 Host B放弃使用这个地址作为接口地址,并且不会发送 NA报文。如果 Host B发现 2000:1是一个已经正常使用的地址,那么 Host B会向该地址的 Node-Solicited组播组发送一个 NA报文,该消息中会包含2000:1。这样,Host A收到这个消息后就会发现自身的实验地址是重复的,从而弃用该地址。路由器发现
40、路由器发现功能用来发现与本地链路相连的路由器,并获取与地址自动配置相关的前缀和其他配置参数。在 IPv6中,IPv6 地址可以支持无状态的自动配置,即主机通过某种机制获取网络前缀信息,然后主机自己生成地址的接口标识部分。路由器发现功能是 IPv6地址自动配置功能的基础,主要通过以下两种报文实现:路由器通告 RA(Router Advertisement)报文:每台路由器为了让二层网络上的主机和路由器知道自己的存在,定时都会组播发送 RA报文,RA 报文中会带有网络前缀信息,及其他一些标志位信息。RA 报文的 Type字段值为 134。路由器请求 RS(Router Solicitation)报
41、文:很多情况下主机接入网络后希望尽快获取网络前缀进行通信,那么此时主机可以立刻发送 RS报文,网络上的路由器将回应 RA报文。RS 报文的 Tpye字段值为 133。当主机所在的链路中存在多个路由器时,主机需要根据报文的目的地址选择转发路由器。在这种情况下,路由器通过发布默认路由器优先级和特定路由信息给主机,提高主机根据不同的目的地选择合适的转发路由器的能力。重定向当网关路由器发现报文从其它网关路由器转发更好,它就会发送重定向报文告知报文的发送者,让报文发送者选择另一个网关路由器。重定向报文也承载在 ICMPv6报文中,其 Type字段值为 137,报文中会携带更好的路径下一跳地址和需要重定向
42、转发的报文的目的地址等信息。Path MTU在 IPv4中,报文如果过大,必须要分片进行发送,所以在每个节点发送报文之前,设备都会根据发送接口的最大传输单元 MTU(Maximum Transmission Unit)来对报文进行分片。但是在 IPv6中,为了减少中间转发设备的处理压力,中间转发设备不对 IPv6报文进行分片,报文的分片将在源节点进行。当中间转发设备的接口收到一个报文后,如果发现报文长度比转发接口的 MTU值大,则会将其丢弃;同时将转发接口的 MTU值通过 ICMPv6报文的“Packet Too Big”消息发给源端主机,源端主机以该值重新发送 IPv6报文,这样带来了额外流
43、量开销。PMTU 发现协议可以动态发现整条传输路径上各链路的 MTU值,减少由于重传带来的额外流量开销。PMTU协议是通过 ICMPv6的 Packet Too Big报文来完成的。首先源节点假设 PMTU就是其出接口的 MTU,发出一个试探性的报文,当转发路径上存在一个小于当前假设的 PMTU时,转发设备就会向源节点发送 Packet Too Big报文,并且携带自己的 MTU值,此后源节点将 PMTU的假设值更改为新收到的 MTU值继续发送报文。如此反复,直到报文到达目的地之后,源节点就能知道到达目的地的 PMTU了。配置静态配置邻居通过手工配置静态邻居,可以获得邻居的 IPv6地址和 M
44、AC地址的映射关系。int vlan 3ipv 6 enableip add 2031:0:130F:9C0:876A:130Bipv6 neighbour 2031:0:130F:9C0:876A:130B 1.1.1.1 vid 10 int f0/0RA 消息发布打开交换机通告的开关,设备可以发布 RA报文,为主机提供前缀等信息。int vlan 5ipv6 enableipv6 nd autoconfig managed-address-flagipv6 nd autoconfig undo ipv6 nd ra halt发布地址前缀信息int vlan 5ipv6 enableipv
45、6 nd ra prefix ipv6-address ipv6prefix-length | ipv6-prefix/ipv6prefixlength valid-lifetime preferred-lifetime no-autoconfig off-link ,双协议栈双栈技术是 IPv4向 IPv6过渡的一种有效的技术。网络中的节点同时支持IPv4和 IPv6协议栈,源节点根据目的节点的不同选用不同的协议栈,而网络设备根据报文的协议类型选择不同的协议栈进行处理和转发。双栈可以在一个单一的设备上实现,也可以是一个双栈骨干网。对于双栈骨干网,其中的所有设备必须同时支持 IPv4/IPv6
46、协议栈,连接双栈网络的接口必须同时配置 IPv4地址和 IPv6地址。配置ipv6 int vlan 3ipv6 enableIPV6 over IPV4 隧道原理1、边界路由设备启动 IPv4/IPv6双协议栈,并配置 IPv6 over IPv4隧道。2、边界路由设备在收到从 IPv6网络侧发来的报文后,如果报文的目的地址不是自身且下一跳出接口为 Tunnel接口,就要把收到的 IPv6报文作为数据部分,加上 IPv4报文头,封装成 IPv4报文。3、在 IPv4网络中,封装后的报文被传递到对端的边界路由设备。4、对端边界路由设备对报文解封装,去掉 IPv4报文头,然后将解封装后的 IPv
47、6报文发送到 IPv6网络中。配置前,都必须先配置业务换回聚合口,聚合口必须不承担任何业务,加入聚合口端口也必须没有接任何用户,设备interface eth-trunkservice type tunnelquitint g1/0/3eth-trunk 1quit隧道种类IPv6 over IPv4隧道的起点的 IPv4地址必须为手工配置,而终点的确定有手工配置和自动获取两种方式。根据隧道终点的 IPv4地址的获取方式不同可以将 IPv6 over IPv4隧道分为手动隧道和自动隧道。手动隧道:手动隧道即边界设备不能自动获得隧道终点的 IPv4地址,需要手工配置隧道终点的 IPv4地址,报文
48、才能正确发送至隧道终点。自动隧道:自动隧道即边界设备可以自动获得隧道终点的 IPv4地址,所以不需要手工配置终点的 IPv4地址,一般的做法是隧道的两个接口的 IPv6地址采用内嵌 IPv4地址的特殊 IPv6地址形式,这样路由设备可以从 IPv6报文中的目的 IPv6地址中提取出 IPv4地址。手工隧道手工隧道分为 IPv6 over IPv4手工隧道和 Ipv6 over Ipv4 GRE隧道IPv6 over IPv4 手工隧道手动隧道直接把 IPv6报文封装到 IPv4报文中去,IPv6 报文作为 IPv报文的净载荷。封装形式如下图所示:IPv6 over IPv4手动隧道转发机制为:
49、当隧道边界设备的 IPv6侧收到一个IPv6报文后, 根据 IPv6报文的目的地址查找 IPv6路由转发表,如果该报文是从此虚拟隧道接口转发出去,则根据隧道接口配置的隧道源端和目的端的IPv4地址进行封装。封装后的报文变成一个 IPv4报文,交给 IPv4协议栈处理。报文通过 IPv4网络转发到隧道的终点。隧道终点收到一个隧道协议报文后,进行隧道解封装。并将解封装后的报文交给 IPv6协议栈处理。配置interface eth-trunkservice type tunnelquitint g1/0/3eth-trunk 1quitinterface eth-trunk 1service type tuunelquitint f0/1eth-trunk 1int tunnel 1tunnel-protocol ipv6-ipv4source ip-address | interface-type interface-number ,destination dest-ip-addressipv6 enableipv6 address ipv6-address prefix-length | ipv6-add
